■江蘇 陳滬娟

編者按：BYOD既節(jié)約企業(yè)的成本，又提高了員工的工作效率，越來越受到歡迎，但是也因工作靈活性以及設備多樣化給企業(yè)帶來了新的安全問題。

BYOD模式出現(xiàn)在企業(yè)環(huán)境的原動力是什么？

答：BYOD模式的原動力來自于單位員工，而不是單位本身，員工對于新科技的喜好反過來驅動單位變更和適應新技術的變化。不過，單位在實施BYOD之前，往往會引來員工和領導的激烈爭論。有些員工會認為，BYOD能像無線網絡是有線網絡補充概念一樣，能被所有人迅速接受，從而很快融入單位IT環(huán)境，成為其中的一份子。這些員工明顯忽視了BYOD模式最根本的屬性，員工在驅動單位接受該模式的過程中，員工對移動終端設備自身是占有主動控制權的。而許多單位的IT決策者和領導者之所以能冒上信息被竊取、數據被攻擊的安全風險，來不遺余力地接受BYOD模式，主要是希望該模式能將辦公成本轉嫁到員工身上，以節(jié)省單位開支，同時讓單位員工能進行隨時加班，從而大幅度提升員工工作效率。不得不承認，在BYOD模式初步發(fā)展的過程中，出現(xiàn)各種各樣的爭論是很正常的，不過從單位需要重新調整包括規(guī)章制度、安全等事項以及員工追求靈活的工作模式來看，就能輕松否定上面的觀點。倘若移動終端設備上有越來越多的應用支撐，那么BYOD模式的發(fā)展將會來的更加迅猛。

BYOD模式可能會通過哪些途徑，對外泄露重要數據？

答：首先是存儲途徑。BYOD設備自身就是一個容量很大的數據存儲設備，使用起來與常見的優(yōu)盤幾乎一樣方便。一些別有用心的員工，例如有跳槽打算的、受到領導批評的、被競爭對手收買的、工作不順心的等等，就會利用工作之便，借助于方便小巧的BYOD設備將企業(yè)重要數據泄露出去。這些數據一旦泄露出去，后果將不堪設想，危害相當大。當然，也有的企業(yè)員工自身就是企業(yè)核心數據的研發(fā)者、使用者和保管者，企業(yè)內部員工利用工作之余竊取企業(yè)數據，特別是核心商業(yè)機密數據已經成為司空見慣的事情。

其次是上網途徑。一些BYOD設備能夠方便地充當Modem角色，這讓企業(yè)員工還可以利用BYOD設備將自己工作用的計算機接入外部網絡，使之暴露在復雜的Internet網絡環(huán)境中。在員工進行網絡活動時，可能會遭遇病毒、木馬、黑客等惡意程序的襲擊，使得工作用計算機的數據被竊取或破壞。

第三是藍牙途徑。支持藍牙功能的BYOD設備也存在潛在的數據泄露風險。這種功能讓企業(yè)員工在短距離內連接上同類設備，這讓一些惡意用戶可以使用具備同等功能的藍牙設備，通過企業(yè)員工的設備作為進入企業(yè)內網的接入點竊取重要數據。

企業(yè)在部署B(yǎng)YOD模式時，該對員工BYOD設備提出怎樣的要求？

答：雖然BYOD主要針對各類移動終端設備，但是在單位內網環(huán)境中，個人電子設備得到廣泛支持并不是件很容易的事，因為單位網絡在接納各類電子設備時，往往會考慮產品的工作穩(wěn)定性以及可延續(xù)性，同時會考慮對第三方應用的廣泛支持。從目前的眾多單位BYOD實施過程來看，蘋果的i系列設備明顯占據了上風，而且這種優(yōu)勢幾乎是壓倒性的，現(xiàn)在越來越多的單位開始采用蘋果設備作為辦公設備的一部分。對于單位來說，他們當然希望用戶將那些品牌過硬的、應用支持廣泛的、市場認可度高的設備帶到單位的辦公網絡中，不過員工的意志卻無法獲得統(tǒng)一的約束，畢竟單位制定的任何政策或制度都不會讓所有員工完全接受。因此，單位在選擇BYOD管理控制方案時，務必要追求簡單化，不能給員工設備使用帶來諸多不便。

企業(yè)應該如何解決員工BYOD設備與單位業(yè)務流程在兼容性方面的問題？

答：首先要確保每個員工的移動設備上都使用支持企業(yè)日常辦公文檔的程序。比方說，單位使用金山移動辦公軟件，可以同時支持微軟Office以及LibreOffice的文件格式。其次盡量讓員工安裝一個備用瀏覽器，比方說Firefox瀏覽器，在移動設備系統(tǒng)內置的瀏覽器不能正常使用基于web的應用時，能夠及時更換使用。要是員工的移動設備的確不能處理某些業(yè)務流程時，可以在員工移動設備上安裝類似Logmein之類的遠程接入應用，也可以安裝遠程桌面客戶端程序。

請問企業(yè)在部署好了BYOD模式后，怎樣限制員工的過度自主性，以避免他們用BYOD設備進行一切活動，讓企業(yè)運營環(huán)境受到安全威脅？

答：為了不讓這種自主性被員工濫用，企業(yè)可以要求員工都簽署B(yǎng)YOD協(xié)議，確保他們明白在企業(yè)內使用自己的BYOD設備是有行為限制的。而且，單位管理員有權強制員工設備必須符合相關的安全標準，否則將禁止其訪問單位網絡中的應用和數據。BYOD趨勢的不可阻擋，讓很多單位有點措手不及，畢竟員工的個人生活與工作在單位內網環(huán)境中會產生越來越多的交集，矛盾在不同單位上的表現(xiàn)也不盡相同，這與單位的員工習慣、安全意識、規(guī)章制度等諸多細節(jié)因素有著密不可分的關系。

請問在企業(yè)的BYOD模式環(huán)境下，怎樣保證員工無法通過email發(fā)送敏感數據？

答：要制定嚴格的BYOD策略，該策略至少應該包含以下內容：禁止企業(yè)員工使用競爭對手的云服務，禁止將企業(yè)郵件內容發(fā)到個人賬號，禁止員工傳送非加密數據，禁止使用非授權的第三方軟件傳輸數據，以免機密信息可能會被發(fā)到其他位置。禁止員工在多個網站使用同一個密碼。強化身份認證管理，為員工和第三方建立一套與企業(yè)聯(lián)絡的可被追蹤的電子認證系統(tǒng)。

BYOD模式下，企業(yè)最擔心重要數據對外泄露。因為員工們會丟失自己的智能手機或平板電腦，一旦這種事情發(fā)生后，企業(yè)的重要數據很容易被泄露出去。請問如何才能避免這種情況出現(xiàn)呢？

答：可以使用遠程刪除策略，也就是說，當員工的移動設備發(fā)生丟失現(xiàn)象后，企業(yè)能夠將保存在移動設備上的重要數據遠程刪除掉。特別是在企業(yè)使用BYOD模式的情況下，更應該立即使用這個策略。

為了防止BYOD設備的無線攻擊滲透，企業(yè)環(huán)境該怎樣進行安全防范？

答：現(xiàn)在無線黑客越發(fā)變得神出鬼沒，而各式各樣通過無線網絡進行的惡意滲透、釣魚、破解、劫持等行為，正讓BYOD設備和單位無線網絡防不勝防。而在單位內部無線網絡中，員工們相互之間私下共享WiFi網絡或3G網絡，也會讓單位內部網絡的安全隱患不能在第一時間發(fā)現(xiàn)。

幸運的是，目前已經能針對無線局域網部署IDS/IPS了（無線入侵檢測系統(tǒng)/無線入侵防御系統(tǒng)）。與有線局域網的IDS/IPS部署相差不大，無線局域網的IDS/IPS部署也是用來防止黑客攻擊的，只是考慮到無線局域網的本質屬性，無線網絡的IDS/IPS部署還能防止內部網絡悄悄連接到單位網絡以外的沒有經過授權的無線路由器。善于利用增強的具有定位服務的IDS/IPS設備，可以有效幫助單位IT管理人員及時發(fā)現(xiàn)接入點，同時能幫助檢測到非法攻擊什么時候發(fā)生及其在什么節(jié)點發(fā)生，倘若有必要的話還能把惡意攻擊從網絡斷開或者至少把惡意攻擊嚇走。

在企業(yè)環(huán)境中部署B(yǎng)YOD模式時，可能會碰到的失誤有哪些？

答：可能會遇到下面一些失誤：一是過分依賴移動設備之類的管理軟件，在設備發(fā)生丟失后，強行通過管理軟件遠程擦除設備中的數據，造成企業(yè)員工的不滿；二是允許所有員工對所有應用程序具有訪問權限；三是沒有強化對員工的企業(yè)網絡設備培訓，導致員工安全意識較差，分不清楚哪些是應該做的和哪些是不應該做的；四是針對BYOD模式制訂的安全策略并不全面，可能存在漏網之魚。

針對BYOD模式天生存在的安全風險，請問是否有必要明確專人監(jiān)控管理這類設備的使用流程，以便集中監(jiān)控網絡中的異常狀態(tài)、網絡中的潛在威脅、網絡中的各種活動以及快速進行響應？

答：很有必要。企業(yè)應該明確專人通過一個集中的控制臺，對整個流程提供全面的報告、連續(xù)的多通道標記報警統(tǒng)計、事件流程管理以及對整個控制平臺進行有效管理。此外，明確專人負責監(jiān)督、管理與執(zhí)行BYOD模式實施工作有關的部門任務、制度、職責等，這個人要能負責決定在單位內部與BYOD實施相關的所有工作，包括哪些部門提供什么配合，單位內部允許使用什么設備，BYOD服務和數據計劃付費等。

BYOD設備的種類多樣性，會給企業(yè)內網安全帶來挑戰(zhàn)。企業(yè)該怎樣有效控制員工個人的BYOD設備，不讓其威脅單位內網安全呢？

答：制定明確的設備使用政策，讓員工擁有或使用BYOD設備，特別是在工作過程中使用這類設備，應嚴格遵守單位制定的設備安全使用政策。一個有效的BYOD政策，應該包含一些基本的規(guī)定，比方說要求設備有一個個人身份識別碼，確保只有員工自己能夠使用這類設備，要求設備具有自動鎖死功能，避免他人利用各種機會偷偷使用該設備，要求設備支持加密和遠程刪除數據等功能，以防止設備意外丟失。這個設備使用政策還應該規(guī)定，移動智能終端設備中能保存什么內容和不能保存什么內容，倘若這類設備意外丟失，還應要求員工采取什么措施，以及可以接受的和不可接受的備份流程等。更為重要的是，單位還應該與員工簽訂一個書面的設備使用協(xié)議，要求員工在使用這類設備時，必須要嚴格遵守設備使用政策。

當然，為了讓設備使用政策得到很好落實，單位要盡可能為員工提供充分的幫助信息。比方說，企業(yè)要經常提醒員工不能將移動設備隨意放置在酒吧或飯店的桌子上，而一定要時刻隨身攜帶。在外出差住宿時，倘若不使用移動設備時，盡量將其鎖在保險箱或其它安全設備中。要提醒員工，不過是工作用的智能手機還是筆記本電腦，都不能隨意允許別人訪問使用。

請問BYOD模式可能會給單位帶來什么樣的麻煩？

答：一是降低工作效率。企業(yè)員工可能會花很多工作時間用來上社交網絡、跟好友聊天或者做更糟糕的事情，這既會降低員工自己的工作效率，也會由于大量占用網絡帶寬資源影響其他員工的工作效率。二是設備難以有效管理。由于每位員工選用的運營商不同，使用的設備品牌、型號不同，這容易給企業(yè)的集中管理帶來很大麻煩。三是存在數據泄露可能。員工攜帶自己的移動設備進入企業(yè)內部網絡環(huán)境，很容易將企業(yè)重要數據通過移動設備帶走，而且移動設備很容易丟失，當不法分子獲取到這些設備時，企業(yè)的重要數據自然就會落入陌生人手中。四是容易泄露密碼。員工的移動設備上可能會保存著登錄企業(yè)網絡和應用服務的各種密碼，這些密碼可能存在于移動應用程序中，也可能直接保存在移動設備的內存中，當員工的移動設備丟失時，那么這些密碼內容就容易對外泄露。五是增大病毒感染風險。員工設備的安全性是由員工個人保證的，不是每位員工都可以完全加固個人設備安全的，惡意軟件、間諜軟件以及常規(guī)的病毒木馬程序等，都可能通過BYOD滲透到企業(yè)內網環(huán)境中。這些安全風險的傳播速度十分快，很容易在企業(yè)內網環(huán)境中瞬間蔓延開來。六是過渡消耗寶貴的網絡帶寬資源。隨著時間的推移，越來越多的員工個人設備接入單位內網環(huán)境，這樣網絡終端的數量很快就會超過原有的組網設計。還有就是原來大家都用計算機進行辦公，往往只是上網查詢文字資料。但現(xiàn)在上網終端多了，很多人開始上網玩游戲、聽音樂、看電影，對網絡帶寬資源的占用也是不可同日而語，這樣就會讓企業(yè)內網不堪重負。七是遭遇第三方應用程序風險攻擊。大量出現(xiàn)的第三方應用程序，雖然方便了移動智能終端的使用，但是也帶來不小的安全隱患。移動智能終端設備實際上就是一臺普通的計算機，只是“身材”小巧玲瓏而已。所以，那些惡意的第三方應用程序會借助這類設備上的Wi-Fi、藍牙等無線技術入侵企業(yè)內部網絡，竊取隱私數據或者傳播病毒程序，危害企業(yè)網絡和數據安全。

請問怎樣在靜態(tài)IP地址和物理地址綁定的環(huán)境下，讓BYOD模式安全可控？

答：要達到這個目的，可以部署專門的桌面安全管理系統(tǒng)，讓該系統(tǒng)同時啟用違規(guī)外聯(lián)策略、準入策略、補丁分發(fā)策略。其中，通過違規(guī)外聯(lián)策略，可以強制只有成功注冊的設備，才能訪問企業(yè)內網數據，不能訪問外部數據，避免外部數據的安全威脅滲透到企業(yè)內網環(huán)境；通過準入策略可以強制需要訪問企業(yè)內網的設備配置IP地址同時進行注冊操作，注冊的設備日后需要卸載的時候，只有桌面安全管理員才能將其卸載，企業(yè)員工不能自行卸載；通過補丁分發(fā)策略，可以對注冊設備的殺毒工具工作狀態(tài)、系統(tǒng)補丁安裝狀態(tài)、病毒庫版本狀態(tài)進行全面的安全檢測。要是BYOD設備沒有啟動殺毒軟件，沒有安裝漏洞補丁程序，可以根據策略提示員工到指定地址進行下載安裝。相信通過這些策略，就能極大地改善BYOD模式的工作安全性。

當然，單位也要從制度著手，針對員工BYOD設備出臺專門的管理辦法，要求在BYOD設備上只能使用專業(yè)的客戶端程序連接企業(yè)內網，通過嚴格的身份認證后才能進行操作，禁止在BYOD設備上保存企業(yè)重要數據，禁止離線處理企業(yè)數據；在企業(yè)內網使用BYOD設備前，一定要對其進行安全加固，包括打補丁程序、安裝殺毒軟件、安裝安全軟件、關閉不需要的端口和服務、配置強壯的密碼等，確保BYOD設備自身是安全的。

BYOD設備攜帶方便，員工很容易通過它帶走企業(yè)重要數據。請問是否能夠實現(xiàn)BYOD設備和數據的分離，以避免上述現(xiàn)象？

答：目前已有一些企業(yè)軟件制造商正在開發(fā)研制相關的專業(yè)工具，以便幫助用戶在BYOD設備上將單位重要數據從個人信息中分離出來，以此來控制BYOD模式數據安全。善于使用這類分離工具，可以有效避免用戶的應用程序訪問企業(yè)重要數據，企業(yè)重要數據不能被復制或者耦合粘貼到個人應用程序中。

企業(yè)IT管理人員可以在BYOD設備上利用數據分離工具來保護敏感的單位數據。如果一個員工擁有一臺BYOD設備，那么當他離開單位的時候，單位工作人員只要通過分離工具刪除他的單位工作信息，而不會影響保存在對應設備中的個人信息。

從安全角度來看，如何限制員工通過BYOD設備從外部訪問企業(yè)內網數據？

答：對于內網中的一些特殊數據或資源，可以通過設置防火墻規(guī)則，并使用VPN加密連接方式，來限制來自外部的不安全訪問。VPN通過加密技術在Internet網絡上封裝出一個數據通訊隧道，通過這條加密隧道，企業(yè)員工不管在外地還是在家中辦公，都能安全、高效地訪問企業(yè)內部數據。

BYOD設備產生的安全風險可能有哪幾種類型？

答：可能有兩種類型：一是設備自身的風險。這是建立在現(xiàn)在的移動智能終端設備實際上是一種新型的擁有本地和云端存儲功能的高效能計算機這一基礎上的，同時比起常見的臺式計算機和筆記本電腦，現(xiàn)在的企業(yè)較少可以控制這些移動智能終端設備。二是安裝在這些設備中的應用程序風險。這種風險源于最終用戶安裝的第三方應用程序，這些應用程序通常能夠訪問到企業(yè)內部網絡的數據,將數據保存到BYOD設備上，同時將數據傳輸到企業(yè)內網之外的位置。

為了讓BYOD安全使用，很多企業(yè)會將重要數據保存在云端或中央服務器上，這就要求企業(yè)員工使用虛擬桌面訪問企業(yè)資源，確保訪問之后的數據不會遺留在移動終端設備上。請問使用虛擬桌面主要有什么作用？

答：移動虛擬桌面能夠實現(xiàn)桌面系統(tǒng)的遠程動態(tài)訪問與數據中心的統(tǒng)一托管，既意味著員工能夠使用任何移動設備，在任何時間和任何地點訪問企業(yè)內網環(huán)境下的數據資源，還能隨時進入屬于員工自己的桌面系統(tǒng)。

為了預防員工使用BYOD設備隨意訪問外部網絡，造成企業(yè)核心數據從本地被轉移，單位該怎樣監(jiān)控員工的上網訪問行為呢？

答：根據實際情況部署網絡信息監(jiān)測系統(tǒng)，控制本地上網，監(jiān)控員工上網行為。結合內核數據截收和預處理技術、深度內容檢測技術、智能識別阻斷等專利技術，為客戶解決網頁過濾、封堵與工作無關的網絡應用需求。企業(yè)可以根據行業(yè)特征、業(yè)務需要和企業(yè)文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。同時制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。并且可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的信息泄漏風險。

為了避免BYOD模式帶來安全威脅，不少企業(yè)單純地采取了封堵措施，限制BYOD被員工們通過各種形式訪問企業(yè)內網環(huán)境，實際上該方法無法從根本上解決問題。要想管理好BYOD模式，想方設法提高員工的安全意識是根本，請問怎樣才能增強單位員工使用BYOD設備的安全意識呢？

答：首先要強化安全觀念的建設，讓安全觀念成為企業(yè)信息化建設過程中的一部分，企業(yè)和員工要共同承擔BYOD模式可能帶來的安全風險。其次要反復組織多次信息安全方面的知識培訓，讓員工掌握安全使用BYOD設備處理業(yè)務的技能，使員工對信息安全與企業(yè)發(fā)展、自身利益之間的關系有更加深刻的認識。

企業(yè)該怎樣對BYOD設備加強安全認證，以保證BYOD模式的正常工作？

答：單位需要為BYOD設備的安全使用進行獨立預算，因為為了防止設備發(fā)生硬件丟失行為，單位需要各類專業(yè)工具或認證工具來跟蹤設備同時刪除其中的隱私信息。單位IT管理人員一定要認真重視BYOD設備內部和外部的認證，確保合法可信的設備才能有權限訪問單位內部網絡中的重要數據。目前很多企業(yè)級移動設備平臺基本都具有比普通設備內置的認證功能更為強健的認證體系，相同的認證策略能適應于各種不同種類的移動智能設備，同時能推廣應用到整個單位網絡。

雖然嚴格的設備認證制度會讓員工每次使用設備時都要頻繁輸入密碼，但是它是防范BYOD模式安全的一項必不可少的措施。單位IT管理人員一定要保證認證密碼難以被暴力破解，同時要求員工不能將使用密碼標記在某個顯眼的位置。在對安全性要求較高的一些場合，要求單位員工頻繁輸入認證密碼確實有點兒繁瑣，不過這樣反而能給員工予以嚴重警告：您當前正在使用的設備可能包含單位機密信息。

此外，企業(yè)級移動設備平臺的安全認證體系，還應該可以遠程刪除丟失設備中的重要數據。當移動智能終端設備意外丟失或被盜后，在被丟失設備連接到Internet網絡中時，跟蹤工具應當與包含GPS功能的設備芯片保持同步，從而能有效跟蹤并定位移動智能終端設備，并能遠程刪除所有的與單位工作有關的機密數據。